Forum Linux.général Authentification centralisée et évolutive

1
16
oct.
2014

Bonjour à tous,

je vais devoir gérer un parc modeste de machines ayant des système hétérogènes (des serveurs en Ubuntu Server, Debian et des stations Windows 7 et Ubuntu principalement).
Le parc risque de grossir très rapidement dans un futur très proche, ainsi que le nombre d'utilisateurs.
Il n'y a pour le moment à ma connaissance aucune authentification centralisée, seulement un serveur Samba pour les partages Windows.

J'aurais voulu avoir votre avis sur la meilleure solution à mettre en place pour avoir à la fois quelque chose de fiable, intéropérable et surtout évolutif pour gérer l'authentification.

Samba 4 me semble être une option sérieuse, mais dois je le laisser tout gérer ou mettre un openldap en backend?
Il est judicieux de mettre le serveur samba 4 en mode contrôlleur de domaine AD? (et dans ce cas, si j'ai bien compris, on lui délègue les rôles de serveur DNS et de serveur LDAP)

Merci de vos retours.

  • # samba4, j'ai sauter le pas

    Posté par . Évalué à 6. Dernière modification le 16/10/14 à 21:01.

    Samba 4 me semble être une option sérieuse, mais dois je le laisser tout gérer ou mettre un openldap en backend?
    Il est judicieux de mettre le serveur samba 4 en mode contrôlleur de domaine AD? (et dans ce cas, si j'ai bien compris, on lui délègue les rôles de serveur DNS et de serveur LDAP)

    Samba4 remplace aisément un controleur active directory (ou deux si tu montes un 2e samba4 en slave du premier)
    et il faut l'interfacer comme un tel (sAMAccount pour le login par exemple),
    mais aussi pour le gerer (j'ai pas reussi autrement qu'avec les Remote System Administration Tool de windows en graphique, ou la ligne de commande linux)

    il gere evidemment l'annuaire (c'est son boulot piremier), le dns si tu lui demandes,
    il permet aussi l'usage des windowseries comme les GPO…

    J'avais noté 3 lignes de commandes utiles pour installer et demarrer son samba4 en tant qu'AD, et faire son esclave avec replication.

    Voici mes notes de debut 2014 pour une installation de samba4 sur ubuntu 12.04

    Ubuntu 12.04 n'inclue pas une version assez avancée de samba4, j'utilise la version fournit par Zentyal

    1°) ajouter le depot zentyal 3.3 suivant :
    deb http://archive.zentyal.org/zentyal 3.3 main extra

    2°) mettre à jour, desinstaller bind9 et dnsmasqd, installer samba4 de zentyal

    aptitude update
    aptitude purge bind9 dnsmasqd
    aptitude install samba4

    lors du test le 12/02/2014, cela installe samba4.1.0

    3°) supprimer le fichier /etc/samba/smb.conf

    4°) configurer le samba en domain controller avec la commande
    samba-tool domain provision --use-rfc2307 --interactive

    redemarrer le service ou la machine.
    service samba4 restart

    5°) sur le domaine secondaire
    meme operation sur le controleur secondaire, sauf qu'on ne demandera pas l'option provision mais l'option join.
    samba-tool domain join xxxx.yyyy DC -Uuser_with_adminrights

    ===============
    pour memoire :
    avec
    REALM = example.com
    ca donne le
    domain = example

    et dans ldap
    dc=example,dc=com

    et les infos pour la connexion de service utilisant ldap
    au moment ou il faut donner le dn =>
    cn=monuser,cn=Users,dc=example,dc=com

    • [^] # Re: samba4, j'ai sauter le pas

      Posté par . Évalué à 1.

      Merci pour ton retour Neox.
      J'ai cependant une vielle appréhension de laisser Samba tout gérer.
      Qu'en sera t-il si la version Windows N+1 n'est plus compatible?

      Ne vaudrait il pas mieux avoir moins d'options (et donc se passer d'un DC AD) et gérer les postes Windows avec du vrai LDAP?
      En gros est ce qu'avoir un AD n'est pas pénalisant pour mes applis qui voudront utiliser du vrai LDAP (je suis totalement noob en AD, je sais juste que les schéma ne sont pas standard).

      Merci.

      • [^] # Re: samba4, j'ai sauter le pas

        Posté par . Évalué à 4. Dernière modification le 16/10/14 à 23:05.

        l'AD samba reste interrogeable en mode LDAP (port 389) avec les outils standards (pam_ldap ou bibliotheques dédiées),
        juste les objets ont les noms specifiques à de l'AD, genre :

        les OU
        les CN
        le sAMAccountName au lieu de l'UID

        mais beaucoup de logiciels libres savent parler à un AD ou un LDAP, c'est juste des arbres LDAP à configurer dans ton logiciel,

        genre au lieu de prendre l'utilisateur dans
        ou=mesusers,o=masociété,c=monpays

        tu vas configurer pour aller prendre les utilisateurs dans
        ou=mesusers,dc=masociété,dc=monpays

        bref, ca reste un arbre avec une base, des branches et des feuilles ;)

        et en milieu heterogene, ce sera toujours le windows qui te posera probleme,
        alors à defaut de prendre un windows acive directory (licence, pas libre, etc), prend toi un samba4 (c'est bon mangez en)

        les linux viendront parfaitement travailler avec.

        dans mon boulot precedent, c'etait un samba4 qui gerait l'annuaire de la boite,
        dessus j'avais branché :

        • une baie EMC pour gerer les autorisations d'acces aux partages CIFS
        • des machines linux en lignes de commande (authentification via PAM_LDAP)
        • evidemment les postes windows (authentification utilisateur/groupe/gpo)
        • on avait commencé à integrer les postes linux dans le domaine pour avoir le login graphique qui prend les infos dans l'AD, mais ce morceau etait le plus complexe (meme en LDAP pur)
        • [^] # Re: samba4, j'ai sauter le pas

          Posté par . Évalué à 1.

          et en milieu heterogene, ce sera toujours le windows qui te posera probleme,

          Exact et il en suffit d'un pour devoir repenser toute l'infra! :)

          on avait commencé à integrer les postes linux dans le domaine pour avoir le login graphique qui prend les infos dans l'AD, mais ce morceau etait le plus complexe (meme en LDAP pur)

          Ah? pourquoi était ce compliqué? c'est quoi qui bloquait? pam?
          J'ai l'impression qu'avec sssd et un samba4 ça se fait (presque) tout seul maintenant.

          Bon tu m'as convaincu, Go samba4 alors!

          • [^] # Re: samba4, j'ai sauter le pas

            Posté par . Évalué à 2.

            Ah? pourquoi était ce compliqué? c'est quoi qui bloquait? pam?
            J'ai l'impression qu'avec sssd et un samba4 ça se fait (presque) tout seul maintenant.

            parce que c'etait pas vraiment utile,
            qu'on n'avait d'autres projets plus important
            qu'il y avait 3 linux pour des devs et des admins pour 15 windows, et que les linuxiens etaient admins de leur postes
            donc on n'a pas pris de le temps d'aller plus loin que les serveurs avec pam_ldap pour l'acces ssh.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.